Hi Tom,

Wenn Du die Dateien, die Du includest selbst geschreiben hast und sie auch immer brav dort ablegst, wo kein User etwas uploaden kann, dann magst Du Recht haben. Aber gerade in Verbindung mit Upload-Scripten habe ich schon wilde Sachen gesehen. Vorhin erst wieder.

Ja, so gesehen, hast du recht.
Da ich aber bisher keine Uploadscripte eingesetzt habe und, wenn ich denn mal eines einsetzen werde, dieses so gestalte, daß die Inhalte erst einer redaktionellen Prüfung unterzogen werden, sehe ich da eher weniger Gefahr.

In vielen Fällen werden dann includes, die dem User namentlich bekannt sind, zur Falle. Textdateien werden z.B gerne included, obwohl sie keinen Fitzel PHP enthalten. Da kann ich dann anstelle dieser Textdatei auch eine mit PHP-Code unterbringen. Die kann ja sogar heißen wie sie will.

Ja, sofern du Zugriff auf das Dateisystem erhältst.
Wenn man aber so etwas macht, ist es zumindest unüberlegt bis selbstmörderisch, wenn man betrachtet, wie schamlos oft Sicherheitslücken ausgenutzt werden.
Meine includes waren früher auch Textdateien, allerdings habe ich nirgens Zugriff auf das Dateisystem gewährt, wodurch es auch unmöglich war, fremde Inhalte zu includen.
Solange ich die Übergabeparameter eines Uploadscriptes uneditierbar mache, dürfte ein derartiges Problem eigentlich nicht auftreten.
Da bestimme ja immer ich, was mit den hochgeladenen Dateien geschieht.
Solange ich mich dann nicht damit selbst abschiesse, dürfte eigentlich nichts schief gehen, oder irre ich mich da?

Gruß

Kurt